certificación de protección de datos prsonales
TRANSCRIPT
Por qué la protección de datos personales
€
£
฿¥
$
¿Cuánto valen los datos personales?
Pasaportes reales
escaneados
1 a 2 US
Cuentas de juegos en Internet12 a 3,500 US
Tarjetas de crédito
robadas
50 centavos- 20 US
1,000 cuentas de correos electrónicos
10 US
1,000 seguidores2 a 12 US
Enviar spam
70 a 150 US
Género2.9 US
Nombre3.9 US
Localización GPS16 US
No. Teléfono5.9 US
Historial de compra
20 US
Historial de crédito
30 US
Passwords76 US
Fuente:Ponemon Institute, Privacy and Security in a Connected Life, Marzo 2015 http://goo.gl/C5pj89
¿Cuánto cuestan los datos robados y servicios de ataque en el mercado clandestino?Symantec http://goo.gl/e41bec
¿ Tu organización que datospersonales trata ?
NombreEdadFecha de nacimientoEstado civilHábitosTeléfonoTrayectoria académicaFotografíaNacionalidadE-mailReligión
NombreE-mailUbicaciónNo. tarjetaCVVCelular
NombreDomicilioE-mailTeléfonoEstado de saludNo. tarjetaCVV
NombreE-mailUbicaciónFrecuencia cardiaca
NombreE-mailUbicación
NombreE-mailNo. tarjetaCVV
NombreE-mailNo. tarjetaCVV
¿Cómo proteger los datos personales?
Laura González
192.321.0.1Católico
Derechos
• Humano
• ARCO
• Decidir uso de DP
Valor DP
•Valor en el mercado
•Precios en el mercado
•Costo fuga de datos
•Precios mercados ilegales
•Valor individual
•Encuestas
•Valor asignado por el individuo
Tipo DP
• Sensibilidad
• Inherente
•Agrupación
Análisis Riesgos
• Vulneraciones DP
Me
did
as d
ese
guri
dad
Físicas
Técnicas
Administrativas
. .
.
20
01
Legislación Sectorial Primeras
iniciativas de leyes de protección de
datos
LFTAIPGLey Federal de
Transparencia y Acceso a la Información Publica
Gubernamental11-Junio
20
09
CPEUMLa protección de datos como un
derecho fundamental 20
11
20
02
20
10
LFPDPPPLey Federal de
Protección de Datos Personales en Posesión
de los Particulares5-Julio
RLFPDPPP
Reglamento de la LFPDPPP
21-Diciembre
Antecedentes en México
Marco legal y normativo
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley)
Reglamento de la LFPDPPP (Reglamento)
Lineamientos del aviso de privacidad (lineamientos)
Recomendaciones de Seguridad
(recomendaciones)
Recomendaciones para la designación de
la persona o Departamento de Datos Personales
Guía para implementar un
SGSDP
Parámetros de autorregulación en
materia de protección de datos personales
Guía para cumplir con los principios y deberes de la
LFPDPPP
La LFPDPPP
“Artículo 1.- La presente Ley es de orden público y de observancia general
en toda la República y tiene por objeto la protección de los datos
personales en posesión de los particulares, con la finalidad de regular su
tratamiento legítimo, controlado e informado, a efecto de
garantizar la privacidad y el derecho a la autodeterminación
informativa de las personas.”
De la
Ley
Ley Federal de Protección de Datos Personales en Posesión de Particulares
Contenido de la Ley
Disposiciones Generales
Principios
Derechos de los Titulares
Ejercicio de derechos
ARCO
Transferencia de Datos
Autoridades
Procedimiento de Protección
de Datos
Procedimiento de Verificación
Procedimiento de Imposición de Sanciones
Infracciones y Sanciones
Delitos
¿A quién debo involucrar en mi organización?
Organización
RH
MKT
LegalFinanzas
“involucrar a todas las áreas que manejen los datos”
Operaciones
Sistemas
Ciclo de vida de los datos personales
Obtención
Uso•Acceso
•Monitoreo
•Procesamiento
Divulgación
•Transferencia
Almacenamiento
• Respaldo
Bloqueo
Cancelación / Supresión
•Destrucción
¿Cómo?
Derechos ARCOD
erec
ho
s ar
co Acceso
Rectificación
Cancelación
Oposición0 10 20 30 40 50 60 70 80 90
Acceso
Rectificación
Cancelación
Oposición
Derechos ARCO reclamados 2013-2014
2014 2013
Fuente: Elaboración propia con información de Informe de labores 2014,INAI
Aviso de privacidad
Procedimientos para atención
de derechos ARCODesignación
de responsable
o departamento
al interior
Políticas de Seguridad y
protección de datos
Convenios de confidencialidad
y contratos
Inventario de
Datos personales y
sistemas de tratamiento
Identificación de personas que tratan los datos, privilegios, roles y
responsabilidades
Análisis de riesgos
Análisis de brecha
Datos
Identificar
Finalidades
¿Para qué?
Tratamientos
¿Qué voy a hacer con ellos?
Consentimiento
Tácito - Expreso
Evidencia
Privilegios de
Acceso y transferencias
Internos Externos
Capacitar al
personal
involucrado
Acciones y procedimientos
en caso de vulneración
Medidas de seguridad Administrativas Medidas de seguridad Físicas Medidas de seguridad Técnicas
Lo mínimo ….
Autoridad
INAI
Autorregulación mediante políticas y procedimientos
internos
REGISTRADA ANTE EL INAI
Autorregulación certificada por un tercero
ACREDITADA ANTE ENTIDAD COMPETENTE
ACREDITADOR
ema
Certificador
NYCE
ResponsableResponsableResponsable
Autorregulación
Autorregulación Vinculante
Requisitos certificación
LFPDPPP RLFPDPPP Lineamiento Aviso de
Privacidad Medidas compensatorias
Parámetros de AutorregulaciónArtículos 14-37
Sistema de Gestión de Datos Personales
Proceso de certificación
CERTIFICADO
(VIGENCIA DE 2 AÑOS)
SOLICITUD DE CERTIFICACIÓN
ACCIONES
CORRECTIVAS
SON
ADECUADAS?
EVALUACIÓN, ACUERDOS Y DECISIÓN
SOBRE LA CERTIFICACIÓN
ANÁLISIS DE LOS RESULTADOS DE LA AUDITORÍA
COMISIÓN TÉCNICA DE CERTIFICACIÓN
REVISIÓN
DOCUMENTAL
NO
NOSI
RENOVACIÓN DE LACERTIFICACIÓN
AUDITORIAS DE VIGILANCIA
REVISIÓN EN SITIO
INFORME
AUDITORIA DE CERTIFICACIÓN
NO
CONFORMIDADES
SI
INFORME
Para todos los tamaños
Grandes Empresas
Medianas Empresas
Pequeñas empresas
Micro Empresas
Fin
anci
ero
Salu
d
Edu
caci
ón
Ind
ust
ria
Co
me
rcio
y s
erv
icio
s
Tele
com
un
icac
ion
es
Cám
aras
y
aso
ciac
ion
es
Call centers y contact centers
Agencias de viajes
Tiendas departamentales
Clubes deportivos
Entretenimiento
Hospitales
Clínicas
Cadenas de farmacias
Laboratorios
Servicios funerarios
Bancos
Seguros
Afores
Casas de bolsa
Escuelas
Universidades
Centros de capacitación
Centros de Idiomas
ISP
Telefonía
Servicios de suscripción
Para todos los sectores
Servicios disponibles
Tipos de certificación
Beneficios
Confianza de parte de los consumidores de productos o servicios
Prestigio al ostentar una certificación con validez internacional
Apego a estándares y normas internacionales
Adopción voluntaria del esquema
Atenuación de sanciones
Demostración de cumplimiento ante la autoridad
Infracciones y sancionesIn
cum
plir
so
licit
ud
es A
RC
O
100-160mil DSMGVDF• Negligencia o dolo en trámites
ARCO• Declarar dolosamente
inexistencia• Incumplimiento de principios
de Ley• Omisiones en aviso de
privacidad• Datos inexactos• Incumplimiento de
apercibimiento
ApercibimientoR
ein
cid
enci
a
Las sanciones pueden duplicarse en caso de
Datos Sensibles
Delitos:
• 3 meses a 3 años de prisión – con ánimo de lucro, vulnerar seguridad a bases de datos
• 6 meses a 5 años de prisión – con ánimo de lucro indebido, tratar datos personales mediante engaño o error
200-320mil DSMGVDF• Incumplimiento de deber de
confidencialidad• Uso desapegado a la finalidad marcada
en Aviso• Transferir datos sin comunicar aviso de
privacidad• Vulneración a la seguridad• Transferir sin consentimiento del titular• Obstruir verificación de autoridad• Transferencia o cesión en contra de Ley• Recabar datos en forma engañosa o
fraudulenta• Uso ilegítimo de datos en caso de
solicitud de cese• Impedir ejercicio derechos ARCO• No justificar tratamiento de datos
sensibles
El INAI considerará:Naturaleza del dato (sensibles, financieros y patrimoniales)Negativa injustificada del Responsable a solicitudes del TitularIntencionalidad en la infracciónCapacidad económicaReincidencia
LFPD
PP
P C
apítu
lo X
y XI A
rtículo
63
al 69
Importe de multas por sector
Fuente: Elaboración propia con información de Informe de labores 2014,INAI
GRACIAS
Pablo CORONA FRAGAGerente Certificación SGTI
Normalización y Certificación Electrónica S.C.1204 5191 ext 427
@pcoronaf